1、數(shù)字娛樂(lè)新員工培訓(xùn)加擾以及加擾原理膠片VHUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 本膠片簡(jiǎn)單介紹了CA系統(tǒng)工作的基本原理，用于指導(dǎo)理解和學(xué)習(xí)CA系統(tǒng)。HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 第第2章章 加密基礎(chǔ)知識(shí)加密基礎(chǔ)知識(shí)第第3章章 條件接收系統(tǒng)原理?xiàng)l件接收系統(tǒng)原理第第4章章 條件接收系統(tǒng)架構(gòu)條件接收系統(tǒng)架構(gòu)HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 業(yè)務(wù)生成系統(tǒng)業(yè)務(wù)生成系統(tǒng)業(yè)務(wù)受理系統(tǒng)業(yè)務(wù)受理系統(tǒng)CA用戶管理系統(tǒng)用戶管理系

2、統(tǒng)用戶用戶集成集成CA的的STB加擾器矩陣加擾器矩陣設(shè)備管理系統(tǒng)設(shè)備管理系統(tǒng)HFC編碼器矩陣編碼器矩陣復(fù)用器矩陣復(fù)用器矩陣QAM矩陣矩陣節(jié)目管理系統(tǒng)節(jié)目管理系統(tǒng)節(jié)節(jié)目目傳傳輸輸網(wǎng)網(wǎng)數(shù)字節(jié)目庫(kù)數(shù)字節(jié)目庫(kù)適配器矩陣適配器矩陣IP雙向鏈路雙向鏈路HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 通常條件接收系統(tǒng)是一個(gè)綜合性系統(tǒng)：涉及到多種技術(shù)，包括：加密技術(shù)、通常條件接收系統(tǒng)是一個(gè)綜合性系統(tǒng)：涉及到多種技術(shù)，包括：加密技術(shù)、加擾技術(shù)、智能卡技術(shù)、網(wǎng)絡(luò)技術(shù)、接收技術(shù)，此外還涉及到用戶管理、加擾技術(shù)、智能卡技術(shù)、網(wǎng)絡(luò)技術(shù)、接收技術(shù)，此外還涉及到用戶管理、節(jié)

3、目管理、收費(fèi)管理等運(yùn)營(yíng)支撐系統(tǒng)相關(guān)的各種技術(shù)。節(jié)目管理、收費(fèi)管理等運(yùn)營(yíng)支撐系統(tǒng)相關(guān)的各種技術(shù)。lCA (Conditional Access) 條件接收系統(tǒng)就是為了商業(yè)目的而對(duì)某些廣播條件下的服務(wù)實(shí)施接入控制，決定一個(gè)數(shù)字接收設(shè)備能否將特定的廣播節(jié)目展現(xiàn)給最終用戶的系統(tǒng)。保證只有獲得授權(quán)的用戶才能收看到所選擇的加密廣播節(jié)目，未獲得授權(quán)者收看不到加密節(jié)目。數(shù)字電視的運(yùn)營(yíng)需要進(jìn)行有效收費(fèi) 保證交費(fèi)用戶能正常收看電視節(jié)目的同時(shí)，限制非法用戶的盜看 需要一個(gè)身份識(shí)別系統(tǒng)數(shù)字電視網(wǎng)絡(luò)仍采用模擬電視的HFC網(wǎng)絡(luò) HFC是一個(gè)單向網(wǎng)絡(luò)，用戶無(wú)法向廣電提供身份信息HUAWEI TECHNOLOGIES Co.

4、, Ltd.HUAWEI Confidential l模擬電視的CA系統(tǒng)全頻段加擾和頻道加擾，原理破壞水平和垂直同步信號(hào)，缺點(diǎn)對(duì)信號(hào)產(chǎn)生損傷，圖像質(zhì)量下降。l數(shù)字嵌入式的CA系統(tǒng)當(dāng)前數(shù)字電視主要加擾方式。特點(diǎn)是一體化設(shè)計(jì)細(xì)想，解密和解擾模塊與TS流解復(fù)用，音/視頻解碼器都集成在機(jī)頂盒上。缺點(diǎn)更換機(jī)頂盒。l可分離式的CA系統(tǒng)CA控制模塊從機(jī)頂盒中獨(dú)立出來(lái)，支持多密工作方式HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential CW：Control Word， 控制字SK：Service Key， 業(yè)務(wù)密鑰ECM：Entitlement Control M

5、essage，授權(quán)控制信息。PDK：Personal Data Key，個(gè)人密匙EMM：Entitlement Management Message，授權(quán)管理信息AC：Access Criteria 訪問(wèn)準(zhǔn)則PSI：Program Specific Information，節(jié)目特殊信息SI：Service Information， 服務(wù)信息TS：Transport Stream，傳輸流PES：Package Element Stream， 打包的原始流SMS：Subscriber Management System， 訂戶管理系統(tǒng)MUX/SCR : 復(fù)用器/加繞器HUAWEI TECHNOLO

6、GIES Co., Ltd.HUAWEI Confidential 第第1章章 CA系統(tǒng)概述系統(tǒng)概述第第3章章 條件接收系統(tǒng)原理?xiàng)l件接收系統(tǒng)原理第第4章章 條件接收系統(tǒng)架構(gòu)條件接收系統(tǒng)架構(gòu)HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential RSARSA公鑰加密算法原理公鑰加密算法原理 RSA公鑰加密算法基于大整數(shù)因式分解困難這樣的事實(shí)。選擇兩個(gè)素?cái)?shù)p，q。（一般p,q選擇很大的數(shù)）然后計(jì)算 z=p*q f=(p-1)(q-1) 選擇一個(gè)n，使gcd(n,f)=1（gcd代表greatest common divider,一般n也選擇一個(gè)素?cái)?shù)）， n

7、和z就作為公鑰。選擇一個(gè)s,0sf,滿足n*s % f=1，s就作為私鑰。特點(diǎn)：非對(duì)稱算法非對(duì)稱算法HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential lDES原理DES算法的入口參數(shù)有三個(gè)：Key、Data、Mode。其中Key為8個(gè)字節(jié)共64位，是DES算法的工作密匙；Data也為8個(gè)字節(jié)64位，是要被加密或被解密的數(shù)據(jù)；Mode為DES的工作方式，有兩種：加密或解密。lDES工作方式：如Mode為加密，則用Key 去把數(shù)據(jù)Data進(jìn)行加密， 生成Data的密碼形式（64位）作為DES的輸出結(jié)果；如Mode為解密，則用Key去把密碼形式的數(shù)據(jù)D

8、ata解密，還原為Data的明碼形式（64位）作為DES的輸出結(jié)果。l 特點(diǎn)：對(duì)稱算法HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 對(duì)稱密鑰非對(duì)稱密鑰實(shí)例DES，3DESRSA密鑰產(chǎn)生秘密密鑰，完全隨機(jī)，經(jīng)常更新利用一個(gè)隨機(jī)大數(shù)產(chǎn)生公私鑰對(duì)，私鑰一般不離開(kāi)卡密鑰長(zhǎng)度56bit384、512、1024bit特點(diǎn)計(jì)算簡(jiǎn)單，速度快計(jì)算復(fù)雜，速度相對(duì)慢密鑰發(fā)送密鑰分發(fā)保密可以公開(kāi)傳遞公鑰安全性密鑰為一定長(zhǎng)度的隨機(jī)數(shù)，既用于加密也用于解密，密鑰要隨密文一起傳給接受方。所以密鑰在傳輸?shù)倪^(guò)程中不安全依靠密鑰的保密，幾個(gè)小時(shí)即可破密有公私鑰之分，兩者均可用于

9、加解密。發(fā)送方和接受方各持有公私密鑰中的一種。依靠密鑰長(zhǎng)度和私鑰的保護(hù)，包括物理和邏輯的應(yīng)用適合大量數(shù)據(jù)加密適合身份認(rèn)證，電子商務(wù)，加密密鑰進(jìn)行發(fā)送HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 第第1章章 CA系統(tǒng)概述系統(tǒng)概述第第2章章 加密基礎(chǔ)知識(shí)加密基礎(chǔ)知識(shí)第第4章章 條件接收系統(tǒng)架構(gòu)條件接收系統(tǒng)架構(gòu)HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential PES HeaderPES DataTS_H TS_AFTS_H TS_AFTS_H TS_AFTS_H TS_AFTSTS級(jí)加擾：完整的級(jí)加擾

10、：完整的PESPES（包括（包括PESPES頭信息）數(shù)據(jù)通過(guò)轉(zhuǎn)換為若干個(gè)頭信息）數(shù)據(jù)通過(guò)轉(zhuǎn)換為若干個(gè)TSTS包，然包，然后對(duì)屬于同一個(gè)后對(duì)屬于同一個(gè)PESPES數(shù)據(jù)的多個(gè)數(shù)據(jù)的多個(gè)TSTS包中的有效載數(shù)據(jù)做加擾。包中的有效載數(shù)據(jù)做加擾。HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential PESPES級(jí)加擾：僅對(duì)級(jí)加擾：僅對(duì)PESPES的負(fù)荷包中的有效負(fù)載數(shù)據(jù)做加擾，然后分別的負(fù)荷包中的有效負(fù)載數(shù)據(jù)做加擾，然后分別放入多個(gè)放入多個(gè)TSTS的數(shù)據(jù)中進(jìn)行數(shù)據(jù)傳輸。其中的數(shù)據(jù)中進(jìn)行數(shù)據(jù)傳輸。其中PES_HPES_H部分放入部分放入TSTS適應(yīng)字適應(yīng)字段中不

11、做加擾。段中不做加擾。 PES_H PES_data TS_H TS_AF TS_H TS_AF TS_H TS_H TS_H TS_AF HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 碼流被加擾之后，必須得到CW之后才能進(jìn)行解擾。在傳送中，如果CW是明文傳送，則非常容易被破解，因此提出了需要對(duì)CW進(jìn)行加密，傳送密文信息，而不直接傳送明文。CW：Control Word 控制字ECM：Entitlement Control Message，授權(quán)控制信息。EMM：Entitlement Management Message，授權(quán)管理信息SK：S

12、ervice Key 業(yè)務(wù)密鑰PDK：Personal Data Key個(gè)人密匙HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 條件接收原理?xiàng)l件接收原理加擾加擾TSTS解擾解擾TSTSCWCW第一層：碼流加擾第一層：碼流加擾加擾過(guò)程是在發(fā)送端用一個(gè)偽隨機(jī)序列（稱為控制字，CW）對(duì)復(fù)用后的TS流進(jìn)行實(shí)時(shí)擾亂控制。接收端必須獲得CW，再次對(duì)碼流進(jìn)行位運(yùn)算才能將碼流還原只有授權(quán)用戶才能獲取CW，才能對(duì)碼流進(jìn)行解擾如何保密傳輸CW？如何使只有授權(quán)用戶才能獲取CW呢？發(fā)送端發(fā)送端接收端接收端HUAWEI TECHNOLOGIES Co., Ltd.HUA

13、WEI Confidential 條件接收原理?xiàng)l件接收原理加擾加擾TSTS解擾解擾TSTSCWCW第二層：訪問(wèn)控制（第二層：訪問(wèn)控制（CWCW加密）加密）發(fā)送端：采用SK（加密密鑰）對(duì)CW進(jìn)行加密，傳輸加密后的數(shù)據(jù)（ECM）接收端：必須先獲取SK，然后運(yùn)用SK對(duì)ECM進(jìn)行解密，得到CW如何保證只有授權(quán)用戶才能得到SK？發(fā)送端發(fā)送端接收端接收端加擾加擾CWECM解擾解擾ECMCWSKSKHUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 條件接收原理?xiàng)l件接收原理加擾TSTS解擾TSTSCWCW第三層：授權(quán)管理（第三層：授權(quán)管理（SKSK加密）加密）發(fā)

14、送端接收端加密CWGECM解密ECMSK加密SKEMM解密EMMPDKPDKCWHUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 條件接收原理?xiàng)l件接收原理第三層：授權(quán)管理（第三層：授權(quán)管理（SKSK加密）加密）每一授權(quán)用戶將獲得一張IC卡，在卡內(nèi)保存有一個(gè)或多個(gè)PDK（個(gè)人密鑰），在發(fā)送端運(yùn)用PDK對(duì)SK進(jìn)行加密，生成數(shù)據(jù)以EMM的形式打包進(jìn)碼流中。這樣保證只有擁用該P(yáng)DK的用戶才能解密得到SK。發(fā)送端接收端加密SKEMM解密EMMPDKPDKSKHUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 條

15、件接收原理?xiàng)l件接收原理加擾TSTS解擾TSTSCW發(fā)送端接收端加密CWECM解密ECMSKSK加密EMM解密EMMPDKPDK加擾器機(jī)頂盒CASMART CARDCWGHUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 條件接收原理?xiàng)l件接收原理加擾TSTS解擾TSTSCW發(fā)送端接收端加密CWECM2ECM1SK2SK1SK1EMM2解密EMM1PDK2PDK1加擾器機(jī)頂盒加密SK1ECM1加密加密PDK1SK2EMM1CA1CA2解密解密解密PDK2ECM2EMM2SK2IC2IC1HUAWEI TECHNOLOGIES Co., Ltd.HUAW

16、EI Confidential 條件接收原理?xiàng)l件接收原理lCW變化周期520秒抗攻擊；保證終端開(kāi)機(jī)瞬時(shí)同步。CW是隨機(jī)序列發(fā)生器的初始字，因此CW變化的頻率必須很頻繁，以便保證終端可以即時(shí)獲得初始字，產(chǎn)生和前端同步的隨機(jī)序列進(jìn)行解擾lSK及變化周期較緩慢減少CA的控制信息的數(shù)據(jù)量。由于要把密鑰信息發(fā)給所有授權(quán)用戶，因此如果直接發(fā)送CW則數(shù)據(jù)量很大，因此用緩慢變化的SK加密CW，再把SK發(fā)給每個(gè)用戶，可以顯著減少數(shù)據(jù)量，比如SK每月變化一次，則可以減少約6個(gè)數(shù)量級(jí)的數(shù)據(jù)。l分組即使存在SK，但為了保證每個(gè)開(kāi)機(jī)用戶在短時(shí)間內(nèi)獲得SK，就要求對(duì)所有用戶遍歷輪循廣播SK的時(shí)間不能太長(zhǎng)，一般約幾個(gè)小時(shí)，

17、如果對(duì)大量用戶輪循SK的數(shù)據(jù)量還是比較大，因此采用分組，每256人一組，可以減少約2個(gè)數(shù)量級(jí)數(shù)據(jù)。lPDK保證密鑰（SK）只發(fā)給授權(quán)用戶。HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 第第1章章 CA系統(tǒng)概述系統(tǒng)概述第第2章章 加密基礎(chǔ)知識(shí)加密基礎(chǔ)知識(shí)第第3章章 條件接收系統(tǒng)原理?xiàng)l件接收系統(tǒng)原理HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 復(fù)用加擾器 CAS條件接收系統(tǒng)架構(gòu)條件接收系統(tǒng)架構(gòu)MUXSCRCWGSCSECMGEMMGSMSCW/ACECMsECMsCWEMMsTSCWSCS同密同

18、步器MUX復(fù)用器SCR加擾器CWG控制字生成器ECMG授權(quán)控制信息生成器EMMG 授權(quán)管理信息生成器SMS訂戶管理系統(tǒng)AC訪問(wèn)準(zhǔn)則TS流TCP/IP內(nèi)部通訊SMS InterfaceService ManagerConfiguration ManagerHUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential lCAS ECMG 生成ECM EMMG生成EMM 加密機(jī) 加密CW和SK 數(shù)據(jù)庫(kù) 保存?zhèn)€人數(shù)據(jù)和產(chǎn)品數(shù)據(jù)l復(fù)用加擾器 復(fù)用器MUX,復(fù)用輸入的視頻流，音頻流和SI數(shù)據(jù)流等多路碼流為一路碼流輸出 控制字發(fā)生器CWG 同密同步器SCS 加擾器SCRlSMS CA接口信息處理 訂戶信息管理 產(chǎn)品信息管理 授權(quán)信息管理HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI Confidential 條件接收系統(tǒng)架構(gòu)條件接收系統(tǒng)架構(gòu)lECMCWG生成CW并提交給SCSSCS將CW和AC打包到CW_Provision消息中，并發(fā)送給ECMGECMG接收到